“La cuantificación económica del riesgo tecnológico es esencial”
Manuel Carpio es el Director de Ciberseguridad en Armatum
Armatum una plataforma del grupo tecnológico español ABAI. Es Ingeniero Superior de Telecomunicación por la Universidad Politécnica de Madrid (ETSIT UPM) y tiene un Diploma de Dirección (PDD) del IESE Business School. Además, posee certificaciones profesionales como CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager) otorgadas por ISACA.
Manuel Carpio es conocido por su enfoque en la valoración económica del riesgo cibernético y ha destacado la importancia de integrar la ciberseguridad con la alta dirección de las empresas. Bajo su liderazgo, Armatum utiliza una combinación de estándares internacionales, métodos estadísticos y simulación basada en el estándar Open FAIR para proporcionar análisis precisos y rápidos del riesgo cibernético.
En esta entrevista con ByTIC desgrana cómo ve la situación de ciberseguridad en las administraciones públicas españolas.
¿Qué puede ofrecer Armatum a las administraciones públicas?
1. Servir de instrumento válido y confiable para el cálculo de la inversión óptima en ciberseguridad, de la eficacia de las salvaguardas y del retorno económico de las inversiones en ciberseguridad.
2. Ser la piedra angular sobre la que establecer un programa de acreditación “ciber” de proveedores críticos en la cadena de suministro.
3. Una forma fácil e intuitiva de comunicar, tanto a los gestores de las AA.PP. como otras partes interesadas, los riesgos tecnológicos y sus potenciales impactos económicos.
¿Se ha analizado la inversión que deberían hacer las AAPP en materia de ciberseguridad?
No. Pero es una magnífica idea que debería ponerse en marcha para cumplir con la constitución española, que en su artículo 31.2 se refiere a la eficiencia como principio que guía el gasto público, que se debe realizar o tener como objetivo “una asignación equitativa de los recursos públicos, y su programación y ejecución responderán a los criterios de eficiencia y economía”.
Armatum es la única plataforma a nivel mundial que calcula la inversión óptima en ciberseguridad, aplicando para ello la metodología de los profesores Gordon y Loeb.
Más aún, tampoco sería una mala idea calcular, aunque sea de forma aproximada, el indicador “riesgo económico cibernético global del país”, tal y como sucede con otros indicadores que se han desarrollado para otros tipos de riesgos, que se manejan a nivel gubernamental.
En términos generales, ¿qué organismos públicos deberían hacer más inversión (total o en proporción) en ciberseguridad?
En primer lugar, debemos citar aquellos organismos que tienen por objetivo la defensa nacional, seguridad ciudadana, la sanidad, y el respeto del libre ejercicio de derechos fundamentales de los ciudadanos, en los que las inversiones en ciberseguridad no deben estar indexadas a la eficiencia económica de la inversión, sino a la eficacia en el cumplimiento de los requisitos más estrictos en ciberseguridad, marcados por la autoridad competente en cada caso.
A continuación, deberían priorizarse las inversiones en ciberseguridad que garanticen la continuidad en la prestación de servicios esenciales: comunicaciones, transportes, suministros y distribución, etc., que es precisamente el objetivo de la Directiva para la Seguridad de la Información y de las Redes (NIS2).
Del resto de organismos, debería priorizarse la atención a aquellos que generan propiedad intelectual, como centros de investigación, universidades públicas, y los que gestionan información sensible de cuya revelación podrían derivarse graves perjuicios económicos para la nación, o perturbar el funcionamiento de instituciones o mercados.
Su IA analiza los costes económicos. ¿Qué repercusiones tiene la ciberseguridad para las AAPP? ¿Se puede hablar también en términos económicos?
Los gestores de las AA.PP. (al igual que ocurre con sus homónimos en la empresa privada respecto de los accionistas), están obligados a rendir cuentas ante los contribuyentes y sus representantes políticos, también en materia de ciberseguridad. Si bien nadie está exento de sufrir un ciber incidente, en caso de producirse este, los responsables de las AA.PP. deberían poder demostrar que, más allá del cumplimiento normativo, en el análisis de riesgos se tuvo en cuenta el impacto económico que potencialmente podría derivarse tanto para las arcas públicas como para los ciudadanos.
Así, es posible encontrar los siguientes casos extremos:
• Sistemas de ciberseguridad sobredimensionados, en los que el objetivo ha sido la ejecución del presupuesto, aun siendo innecesario, por temor a una reducción en futuras dotaciones.
• Sistemas de ciberseguridad infra dimensionados u obsoletos, por insuficiencia o falta de presupuesto.
¿Qué repercusiones puede haber para los organismos públicos incumplir con normativas como DORA o NIS2?
Las Entidades de la Administración pública se señalan como sectores de alta criticidad en el Anexo I de la Directiva NIS2, con exclusión del poder judicial, los parlamentos y los bancos centrales, de las entidades que lleven a cabo sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la garantía del cumplimiento de la ley.
En el Artículo 34 de la referida Directiva se establecen las condiciones generales para la imposición de multas administrativas a entidades esenciales e importantes, que pueden alcanzar un máximo de 10 millones de Euros o el 2 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad, cuando esta haya sido designada “esencial”. En el caso de las entidades designadas como “importantes” las sanciones alcanzaran un máximo de, al menos, 7 millones de Euros o el 1,4 % del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad.
Los Estados miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a las entidades de la Administración pública.
Sin embargo, lo anterior no exime del cumplimiento lo dispuesto en el Capítulo IV de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en cuanto a la responsabilidad patrimonial de las Administraciones Públicas, así como la responsabilidad de las autoridades y personal al servicio de dichas Administraciones Públicas.
En concreto, los particulares podrán exigir directamente a la Administración Pública correspondiente las indemnizaciones por los daños y perjuicios causados por las autoridades y personal a su servicio.
Del mismo modo que NIS2 contempla la obligación de que los directivos de las compañías aprueben y supervisen la puesta en práctica de medidas para prevenir y minimizar el impacto de los incidentes en caso de producirse, y responsabilizará con nombres propios a la alta dirección si se demuestra una negligencia grave tras un incidente cibernético. La clave reside en que, si no cumplen con estas obligaciones, podrán responder por el incumplimiento e incluso ser inhabilitados temporalmente para ejercer funciones directivas en la entidad.
¿Qué grado de cumplimiento tienen las AAPP de estas normativas?
En España, todas las administraciones públicas deben cumplir con el Esquema Nacional de Seguridad (ENS). A fin de facilitar el cumplimiento de la Directiva NIS2 a través del ENS, el Centro Criptológico Nacional (CCN) ha desarrollado el Perfil de Cumplimiento Específico para organizaciones en el ámbito de aplicación de la Directiva NIS2 (PCE-NIS2). El PCE-NIS2 detalla medidas de seguridad concretas adaptadas al contexto del ENS, como políticas de seguridad específicas, procedimientos de gestión de incidentes y programas de formación. Estas medidas están orientadas a abordar los riesgos particulares que enfrentan las organizaciones dentro del ámbito del ENS, proporcionando una guía práctica para su implementación efectiva.
El CCN publica el Informe Nacional del Estado de Seguridad (INES), donde se muestran los resultados obtenidos y el nivel de implantación del ENS en la Administración pública, teniendo en cuenta exclusivamente los valores aportados por los organismos que participaron en la recogida de datos. Dicho informe puede consultarse en la web del CCN.
¿Están mejor, peor o igual que las empresas privadas?
Gracias al impulso del CCN, vehiculado a través del ENS desde el año 2010, la madurez en ciberseguridad alcanzada por las entidades de las AA.PP. puede homologarse, en general, a la de empresas del sector privado de similares características. No obstante, existen áreas de mejora en ambas, como la compartición de información sobre ciber amenazas, la eficiencia de las inversiones, la dispersión regulatoria y fragmentación de la unidad de mando.
¿Y en cuanto a la concienciación?
La concienciación de funcionarios y empleados públicos en materia de ciberseguridad es hoy también, en términos generales, asimilable a la de los empleados de empresas del sector privado.
Sin embargo, tal y como se exige en la Directiva NIS2, es necesaria una mayor implicación efectiva de los directivos de entidades públicas y privadas, en una doble vertiente: en cuanto a su formación y en cuanto a la asunción de responsabilidad personal.
La Directiva requiere que los responsables de seguridad comuniquen los riesgos y sus potenciales impactos en un lenguaje que sea entendible por la dirección ejecutiva de las entidades, para que puedan tomarse decisiones proporcionadas y razonadas. En tal sentido, la cuantificación económica del riesgo tecnológico es esencial.
¿Qué es lo más difícil y lo más gratificante de trabajar en ciberseguridad con las AAPP?
Lo más gratificante es, probablemente, disponer de un marco regulatorio homogéneo, maduro y bien definido, gracias al ENS.
Lo más difícil, una vez salvados los aspectos del cumplimiento regulatorio, es trasladar a las entidades del sector público, los objetivos de eficiencia en plazos y en recursos, que se asumen de forma natural en el sector privado. Cumplimiento sí, pero ¿a qué precio?.
